Proaktivní detekce virů

4. 10. 2007

Sdílet

Budeme-li pojem „proaktivní“ chápat jako stav, kdy je uživatel (nebo firma) připraven na případný virový útok, pak by se musel bez zaváhání podepsat minimálně pod následující body:

Část obecná:

• Jsou dodržována základní bezpečnostní pravidla.

• Je využit personální firewall s vhodným nastavením a uživatel se je schopen rozhodnout, jaká komunikace je korektní a jaká nikoliv.

• Používají se poslední verze programů, které souvisí (ať už přímo nebo nepřímo) s internetem, odkud v dnešní době přichází nejvíce „havěti“. Pokud budeme hovořit o Internet Exploreru a operačním systému MS Windows, pak by měl uživatel stahovat pravidelně bezpečnostní záplaty např. pomocí služby windows-update.microsoft.com.



Část antivirová:

• Používá se aktuální antivirový systém s poslední aktualizací.

• Antivirový systém je optimálně konfigurován, v provozu je rezidentní štít (on-access skener), kontrola elektronické pošty, automatická aktualizace apod.

• Je prováděna občasná kontrola veškerých dat na pevném disku.



Pokud se budeme bavit o konkrétních metodách proaktivní detekce ve smyslu detekce dosud neznámých virů, pak je v dnešní době k vidění především:



Heuristická analýza

Heuristická analýza je další z mnoha kouzelných termínů, které věrně doprovázejí některé antivirové systémy. V podstatě jde o rozbor kódu a hledání postupů typických pro činnost virů nebo nějak jinak podezřelých.

Heuristická analýza měla odjakživa své zastánce i odpůrce. Zatímco příznivce těšila možnost detekce neznámých virů, odpůrce strašila zvýšená hladina falešných poplachů.

V dnešní době je situace taková, že heuristická analýza je až na několik světlých výjimek (viz níže) v podstatě mrtvou záležitostí. U řady dalších antivirů přežívá heuristická analýza už pouze jako „pojem“ z dob MS-DOS, nikoliv jako metoda detekce. S příchodem Windows se totiž jejich další vývoj často zastavil a v dnešní době, kdy vzniká více méně pouze 32bitová „havěť“ (hostující v souborech PE EXE, resp. je napadající), ztrácí smysl.

Pokud budeme hovořit o výjimkách z výše uvedeného, musíme rozhodně zmínit antivirový systém Norman Virus Control s technolo-
gií Sandbox a Eset NOD32 (Advanced Heuristics), které nabízejí opravdu špičkovou heuristickou detekci i nejnovějších a dosud neznámých virů.



Generická detekce

Také generická detekce dokáže odhalit doposud neznámé viry. Vychází z toho, že řada virů může být v jistých směrech především z hlediska programové struktury podobná. Generickou detekci tak lze uplatnit především při detekci virů z jedné „rodiny“ (v poslední době šlo o viry Win32/Bagle nebo Win32/Netsky) a obecně u trojských koní, které jsou generovány pomocí nějakého nástroje, popř. vznikají po drobné úpravě starších verzi (jako mutace trojanů Agobot, Rbot, Sdbot…). Pokud jde o zcela nový přírůstek, který nebyl vyvíjen na základě již existujícího škodlivého softwaru, jde spíše o práci pro heuristickou analýzu a generická detekce nemusí mít takovou úspěšnost.

Využití obou zmíněných metod může dovést antivirový systém k velice dobrým výkonům, o čemž mohou svědčit i výsledky „Retrospective/ProActive Test“, pravidelně publikované na nezávislém serveru.



Igor Hák pracuje ve společnosti Eset

Autor článku